780 - Requisitos que se deben cumplir para la transferencia de datos personales a países fuera de la Unión Europea

El artículo 44 del RGPD establece que solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional «si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado».

Transferencias de datos personales a terceros países u organizaciones internacionales

Las transferencias internacionales, dice la AEPD, suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (estos son, los países de la UE, Liechtenstein, Islandia y Noruega).

a) Decisión de adecuación

El artículo 45 del RGPD dispone que pueden realizarse transferencias de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, territorio o uno o varios sectores específicos de ese tercer país o la organización internacional de que se trate garanticen un nivel de protección adecuado. Lo destacable en estos casos es que no es necesario una autorización específica para la transferencia. 

Para evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta: 

• El Estado de Derecho.
• El respeto de los derechos humanos y las libertades fundamentales. 
• La legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales y la aplicación de dicha legislación.
• Las normas de protección de datos. 
• Las normas profesionales.
• Las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional.
• La jurisprudencia.
• El reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos.
• La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros.
• Los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.

Siguiendo lo pautado en el artículo 45 del RGPD, la Comisión, tras evaluar la adecuación del nivel de protección, puede acordar mediante un acto de ejecución que el territorio destinatario garantiza un nivel de protección adecuado al apreciar la concurrencia de los requisitos anteriores. En el acto de ejecución se establecerá:

• Un mecanismo de revisión periódica (mínimo cada cuatro años), que valore todos los acontecimientos relevantes en el tercer país u organización internacional. La Comisión también deberá supervisar de manera continuada todos los acontecimientos que puedan afectar a la aplicación de las decisiones adoptadas.
• Su ámbito de aplicación territorial y sectorial.
• La autoridad o autoridades de control independientes del tercer país, organización o territorio. 

Puede darse el caso de que ese tercer país, territorio o sector específico, o una organización internacional no cumpla con el nivel de protección adecuado. En esos supuestos, la Comisión puede, mediante actos de ejecución, derogar, modificar o suspender, en la medida necesaria y sin efecto retroactivo, la decisión que reconociera la adecuación. La Comisión entablará consultas con el tercer país u organización con vistas a poner remedio a la situación que dio lugar a tal decisión derogatoria o suspensiva.

A TENER EN CUENTA. Los actos de ejecución también pueden adoptarse por razones de urgencia. Debe prestarse especial atención al texto íntegro del artículo 45 del RGPD, en especial a sus referencias al artículo 93 del RGPD para el procedimiento de examen para los actos de ejecución, y al artículo 25, apartado 6, de la Directiva 95/46/CE en lo que respecta a las decisión adoptadas a su amparo, que permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada conforme lo expuesto anteriormente.

A fecha actual, los países y territorios declarados como adecuados, según la AEPD, son:

• Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
• Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
• Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003.
• Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
• Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
• Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
• Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
• Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
• Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
• Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
• Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
• Japón. Decisión de 23 de enero de 2019.
• Reino Unido. Decisión de 28 de junio de 2021.

A TENER EN CUENTA. En relación a las transferencias de datos realizadas con Estados Unidos, el Tribunal de Justicia de la Unión Europea invalido la Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, conocida como el Escudo de Privacidad para las transferencias de datos a los Estados Unidos, por lo que este país ya no se incluye dentro del listado de países adecuados. 

CUESTIÓN

¿Qué se debe hacer si se aprecia, en una decisión de la Comisión en materia de transferencia internacional de datos, una posible vulneración del RGPD o del derecho fundamental a la protección de datos?

En base a la D.A. 5.ª de la LOPDGDD, si se diera este caso, y la validez de tal decisión además fuera trascendental para la resolución de un procedimiento concreto, la autoridad de protección de datos debe acordar inmediatamente la suspensión del procedimiento, a fin de solicitar del órgano judicial autorización para declararlo así en el seno del procedimiento del que esté conociendo. Dicha suspensión deberá ser confirmada, modificada o levantada en el acuerdo de admisión o inadmisión a trámite de la solicitud de la autoridad de protección de datos dirigida al tribunal competente.

Se planteará previa cuestión prejudicial conforme a los términos del artículo 267 del TFUE, y si el TJUE la resuelve declarando inválida la decisión de la Comisión, se podrá conceder la respectiva autorización judicial.

No obstante, este cauce solo se podrá aplicar frente a decisiones de la Comisión que se tomen sobre: 

- El nivel adecuado de protección de un tercer país u organización internacional, en virtud del artículo 45 del RGPD.

- La aprobación de cláusulas tipo de protección de datos para la realización de transferencias internacionales de datos.

- La validez de los códigos de conducta a tal efecto.

b) Otras garantías ante falta de decisión de adecuación

De no darse la decisión de adecuación, el responsable o encargado del tratamiento puede transmitir datos personales a un tercer país u organización internacional, como fija el artículo 46 del RGPD, si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Estas garantías podrán ser aportadas, sin ser necesaria autorización expresa de una autoridad de control, por:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes de conformidad con el artículo 47 del RGPD.
• Cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2, del RGPD. 
• Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2, del RGPD.
• Códigos de conducta aprobados con arreglo al artículo 40 del RGPD, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
• Mecanismos de certificación aprobados con arreglo al artículo 42 del RGPD, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Si existe autorización de la autoridad de control competente, las garantías adecuadas pueden ser aportadas también mediante:

• Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional.
• Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Y se aplicará a estos medios el mecanismo de coherencia a que se refiere el artículo 63 del RGPD. 

Cabe traer a colación la reflexión recogida en la STJUE, n.º C-311/18, de 16 de julio de 2020, ECLI:EU:C:2020:559, sobre el artículo 46, apartado 1 y 2, letra c) del RGPD:

«El artículo 46, apartados 1 y apartado 2, letra c), del Reglamento 2016/679 debe interpretarse en el sentido de que las garantías adecuadas, los derechos exigibles y las acciones legales efectivas requeridas por dichas disposiciones deben garantizar que los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el referido Reglamento, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea. A tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión Europea y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento».

A TENER EN CUENTA. Para hacer una relación explícita del contenido del artículo 46, su apartado 5, del RGPD que indica que «las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo». 

c) Transferencias que requieren autorización previa de la AEPD

En nuestra normativa, la LOPDGDD recoge en su artículo 42 que las transferencias internacionales de datos a países u organizaciones internacionales, que no cuenten con una decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías expuestas anteriormente del artículo 46, apartado 2, del RGPD, requerirán de previa autorización de la AEPD o, en su caso, de las autoridades autonómicas de protección de datos. Esta podrá otorgarse en los siguientes supuestos:

• La transferencia pretende fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46, apartado 2, letras c) y d) del RGPD.
• La transferencia se lleva a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77, apartado 1, de la LOPDGDD y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

Esta autorización, a su vez, tendrá las siguientes peculiaridades:

• El procedimiento tendrá una duración máxima de seis meses.
• La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se refieren los artículos 64, apartado 1, e) y f) y 65, apartado 1, c) del RGPD. Esto implica la suspensión del procedimiento hasta que el dictamen sea notificado a la AEPD o, por conducto de la misma, a la autoridad de control competente cuando fuere el caso.

d) Supuestos sometidos a información previa a la autoridad de protección de datos competente

Conforme al artículo 43 de la LOPDGDD, «Los responsables del tratamiento deberán informar a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos».

A TENER EN CUENTA. El artículo 43 de la LOPDGDD no se aplicará a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos, de acuerdo con el artículo 49, apartado 3, del RGPD.

Condiciones para el tratamiento de datos en virtud del art. 49 del RGPD

Existen una serie de excepciones, reconocidas en el artículo 49 del RGPD, a la concurrencia de garantías para la transferencia a un tercer país u organización ante la falta de decisión de adecuación y de garantías, pudiendo realizarse si se cumple alguna de estas condiciones:

• El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas. (*)
• La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado. (*)
• La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica. (*)
• La transferencia sea necesaria por razones importantes de interés público. El interés público será reconocido por el derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
• La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
• La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

A TENER EN CUENTA. Esta referencia, realizada por la AEPD, hecha a las personas incapacitadas judicialmente resulta inadecuada desde la entrada en vigor de la Ley 8/2021, de 2 de junio, por la que se reforma la legislación civil y procesal para el apoyo a las personas con discapacidad en el ejercicio de su capacidad jurídica. En este sentido, entendemos que la AEPD hace referencia a aquellas personas que tengan medidas de apoyo para el ejercicio de su capacidad. 

• La transferencia se realice desde un registro público que, con arreglo al derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el derecho de la Unión o de los Estados miembros para la consulta. El apartado 2 del artículo 49 del RGPD suscribe que en estas transferencias no se abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Si la consulta se da por personas con interés legítimo, la transferencia solo se efectuará a solicitud de aquellas o si estas han de ser las destinatarias.

A TENER EN CUENTA. Lo marcado con asterisco (*) no será aplicable a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos (art. 49, apartado 3, del RGPD). 

Como indica el citado precepto, si una transferencia no puede basarse en disposiciones de los artículos 45 o 46 del RGPD, y no puede encajarse tampoco en ninguna de las excepciones, esta solo se podrá llevar a cabo si:

• No es repetitiva.
• Afecta solo a un número limitado de interesados.
• Es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado.
• El responsable del tratamiento ha evaluado todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ha ofrecido garantías apropiadas con respecto a la protección de datos personales.

Lo anterior debe ser documentado en el registro de actividades de tratamiento por el responsable o encargado.

En estos casos, el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD sobre los datos personales, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.